As questões mais importantes, quando se pretende migrar dados para a cloud
computing, é ter algum conhecimento sobre o enquadramento legal, principalmente, na
resolução dos SLA5, que devem ser acordados entre ambos, pois a segurança, privacidade e a conformidade com as leis e as regras estabelecidas são espetos essenciais na escolha de um novo serviço.
O SLA (service levels agreements) deve ser negociado e acordado com o cliente, a fim, de que, possa fornecer as funcionalidades e requisitos descritos, como o termo de segurança, de integridade, confidencialidade e disponibilidade de acordo com as suas necessidades.
Buyya et al (2011) referem que os parâmetros dos serviços, as métricas, a função e as diretivas métricas, devem constar num SLA e precisam ser especificadas, a fim de definir os valores das propriedades dos serviços, bem como a forma de calcular o valor de uma métrica, a partir dos valores de outras métricas, especificando a forma de quantificar e avaliar.
Halpert (2011) ressalva que quando é acordado um SLA, para ambientes cloud, certos tópicos, do ponto de vista da liderança, devem ser claramente identificados, discutidos e negociados, de forma a garantir a proteção da informação e das funções de negócio.
3 O Cartão de Pagamento Padrão de Segurança de Dados da Indústria (PCI DSS) é um conjunto de requisitos projetado para assegurar que todas as empresas que gerem informações de cartão de crédito possam processar, armazenar ou transmitir e manter dados num ambiente seguro. Essencialmente, qualquer comerciante que tem uma identificação Merchant (MID é um número único atribuído à conta de um comerciante para identificá-lo no decurso das atividades de processamento).
4 A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização. A versão mais recente desta norma foi publicada em 2013, e seu título completo agora é ISO/IEC 27001:2013.
5 SLA (service level agreement) é um acordo de nível de serviço; um contrato entre um fornecedor de serviços de TI e um cliente, especificando em geral em termos mensuráveis, quais serviços o fornecedor vai prestar.
Estes aspetos são: suporte para interrupções de serviço, garantias de segurança da informação, serviços e sistemas, procedimentos para resposta a incidentes, audibilidade à segurança implementada, pagamento de compensações por perdas, certificação de confiança.
Segundo Silva (2014), as empresas são responsáveis por definir as políticas de segurança, criar uma consciência sobre a necessidade desta segurança no seio da empresa e certificar-se que os fornecedores também aderem a esta necessidade. É responsabilidade dos clientes auditar os fornecedores para garantir que as políticas de segurança sejam observadas.
Como referido, nos modelos de implementação na cloud pública, estes devem ser celebrados de modo a que a resolução de diferendos se consiga fazer somente no âmbito do contrato. Segundo, o advogado Traça (2011) existem outros aspetos a precaver. A implementação de medidas de segurança é uma questão técnica, mas a responsabilidade pela segurança é um problema jurídico.
De facto, “a segurança é sem dúvida alguma preocupação de topo das empresas,
quando consideram migrar dados ou recursos computacionais para a cloud” (Hugos &
Hulitzky, 2011, p. 66), é uma forma de gestão de riscos que deve ter em conta todos os fatores operacionais.
A legislação está, pontualmente, relacionada com a privacidade, por esta razão, vê-se, atualmente, um crescimento gradual de relevância da temática, maior preocupação e maior necessidade de conhecimento, em relação a esta problemática. Acreditamos que a forma mais eficaz de precaução é o resguarde abrangido pelas leis, regulamentos e normas.
Um dos pontos essenciais a ter, em consideração, quando falamos em legislação, é o Plano de Continuidade de Negócio (PCN) e as especificidades legais do país onde estão os
Data Centers, que possuem os nossos dados ou serviços.
Segundo o Conselho do Parlamento Europeu (1995), os Estados membros, de uma forma geral, devem proteger os direitos e liberdades fundamentais dos seus cidadãos, em particular garantir o seu direito à privacidade, no que respeita ao processamento de
informação pessoal, não devem restringir ou proibir a livre circulação de informação pessoa, entre Estados Membros, por motivos ligados à proteção nos termos do ponto anterior.
Em muitos países, como é o caso de Portugal, a legislação abriga as organizações, quer privadas ou públicas, a terem em conta a privacidade de seus usuários, assegurando a segurança de seus dados. Esse direito é abrangido por lei comunitárias, como a diretiva 95 / 46 / EC20 do Parlamento Europeu e do Conselho de Outubro de 1995, na proteção de pessoas, na recolha e tratamento de PII e movimentação dessa informação (Silva, 2014).
Sabe-se, porém, que quando uma organização migra os seus dados, há uma incerteza sobre a localização precisa das informações armazenadas e da execução dos processos. Contudo, o modelo Cloud, apresenta uma característica de redundância e assim pode replicar a informação por vários servidores e centro de dados onde estes operem. Estas informações devem, ser facultadas ao cliente, para que possam ter mais informações sobre a localização, a fim de facultar cooperação entre ambas as partes (Krutz & Vines, 2010).
As organizações precisam, compreender a importância de se encontrarem ordenados com os regulamentos e as leis, quer nacionais ou internacionais, suas especificidades e seus padrões, é preciso reforçar que os aspetos legais devem estar presentes em todas as fases de planeamento, quer sejam de estratégias, táticas ou operacionais.
2.6.1 Legislação em Vigor
Avaliar a legislação em vigor, quais as falhas existentes que possam dificultar o processo pós implementação, em caso de ser necessário, agir juridicamente e quais os aspetos importantes que as organizações devem ter em conta. Devem, inclusive, estar cientes da legislação presente, os trâmites da lei ou a sua ausência, consoante os casos.
Sabe-se que, as leis diferem de país para país, e pela “natureza da cloud, é muito
provável que esteja mais que um país envolvido na implementação particular da mesma”
(Marchini, 2010, p. 13).
A questão que se coloca e a qual nos reportamos é: Que lei aplicar? Segundo, o autor, para responder a esta pergunta, primeiro necessitamos identificar qual o sistema legal a aplicar.
Na cloud podem existir atividades que ultrapassem várias fronteiras, onde por vezes, não é possível, identificar em que país se realizam determinadas atividades. Marchini (2010) leva-nos a refletir e a questionar com a seguinte pergunta: “Se o cliente estiver em Inglaterra e o fornecedor na Califórnia, a segurança é avaliada em Inglaterra ou da Califórnia?”
Num cenário típico de cloud, podem existir no mínimo quatro sistemas legais a considerar, primeiro, o sistema legal do país onde o cliente está, depois o sistema legal do país onde o fornecedor está, ainda o sistema legal do país onde estão os dados armazenados, por fim o sistema legal do país do indivíduo a que os dados se referem (Marchini, 2010, p. 13).
Existe uma grande lacuna, de legislação a nível mundial para a cloud computing, em Angola essa realidade também é presente. A Lei 22/11, de 17 de junho, aprovou o regime jurídico de proteção de dados pessoais. Os artigos 33º e 34º estabelecem, atualmente, condições legais aplicáveis à transferência internacional de dados pessoais.
Na perspetiva de Carvalho (2013), esta Lei de Proteção de dados pessoais distingue entre dois tipos de transferências de dados:
1. As transferências para países que assegurem um nível de proteção adequado, caso em que deverá ser meramente notificada à futura Agência de Proteção de Dados;
2. As transferências para países que não assegurem um nível de proteção adequado, caso que depende de autorização daquela futura entidade.
Esta temática ganha, especial e atual relevância, com a emergente oferta dos chamados serviços de cloud computing, os quais assentam, precisamente, na possibilidade de acesso remoto a dados guardados em Data Center e localizados em países estrangeiros.
O Advogado Victor Carvalho (2013) refere que os serviços de cloud computing são altamente inovadores, por causa da oferta de meios e de serviços online, bem como pela transferência e armazenamento de grandes quantidades de dados pessoais para locais (não
necessariamente únicos) não controlados pelos proprietários. Por estas razões, os serviços de cloud computing, exigem reformulações legais complexas.
Torna-se necessário, contratualizar adequadamente os negócios de cloud computing. Em cada caso terá que se ponderar os interesses específicos e a vontade negocial das partes. Porém, é possível listar uma série de temas que, à partida, deverão ser objeto da contratualização do cloud computing.
Em termos exemplificativos, salientam-se algumas precauções específicas que, o fornecedor deverá ter na contratualização destes serviços, como:
A fixação de regras de limitação de responsabilidade contratual tendo, em conta, os riscos de perda de dados e quebra de confidencialidade, o que pode originar danos de valor elevado;
A inserção de salvaguardas transferindo parte dos riscos associados com a segurança e a confidencialidades dos dados, assim como, de incumprimento de obrigações regulatórias por parte dos clientes;
A definição de regime de SLA que, seja adequado a uma oferta flexível e variável. Carvalho (2013), acrescenta que, o utilizador dos serviços de cloud computing deverá acautelar, quanto à adequada proteção legal dos seus dados, alojados na Cloud, o que face à lei nacional, só é possível com a identificação prévia dos locais onde os dados serão armazenados e quando exista transferência internacional de dados, notificação prévia ou pedido de autorização, consoante os casos, à Agência de proteção de Dados.
A adequação dos mecanismos de segurança e de backup dos dados transferidos para a
Cloud que reduzam riscos de perda e de quebra de confidencialidade, a adaptação dos
mecanismos de segurança instalados nos Data Centers e nas ligações a estes, a garantia de permanente e fácil acesso aos dados armazenados, a garantia de recuperação integral, com a cessação do contrato, dos dados em formato legível, a salvaguarda na fácil mudança de fornecedor, as garantias de cumprimento das obrigações que, pressuponham acesso aos dados armazenados, por parte de entidades reguladoras, os mecanismos que garantam a flexibilidade e rapidez de alteração dos serviços contratados, a segurança na transferência de dados para a Cloud.
A clarificação da responsabilidade por perda de dados e pela violação da obrigação de confidencialidade, as obrigações de informação em caso de perda de dados e de quebra de confidencialidade, o regime de SLA e penalidades adequado a uma oferta por natureza flexível e variável na execução do contrato e outros fatores, são fatores imprescindíveis para a redução de riscos.
No decorrer deste capítulo, foram apresentados exemplos explicativos da complexa contratualização dos serviços de cloud computing, o que exige uma especializada intervenção, negociação e acompanhamento.
Identificou-se, através da literatura atualizada no contexto da temática, que o conceito de Cloud Computing, tem sido debatido em grande medida na perspetiva de redução dos custos, um aspeto apreciável neste momento de crise financeira que afeta, de modo geral, todas as empresas, nos aspetos funcionais e distributivos e no respaldo legal.
Através deste apanhado teórico, percebemos que a temática não pode ser abordada de forma isolada, pois não nos permite ter uma ideia fiável de qualquer modelo de implementação, caindo deste modo num domínio redutor de análise, pois pretende além das suas definições, divulgar o estudo às inter-relações com a cloud, analisando o funcionamento deste ecossistema tecnológico.
Vindo de encontro a esta consideração, Hugos e Hulitzky (2011, p.120) afirmam que “na opinião dos CIO’s as tendências de mercado atuais, resultam não apenas por causa da
Cloud Computing, mas por causa de todas as oportunidades de consolidação económica impulsionadas pela virtualização e tecnologias mais eficientes” portanto, entende-se, que é
através destas oportunidades e constrangimentos que a cloud, nos proporciona os seus modelos de implementação e fatores relacionados com a segurança dos dados e legislação existente.
3. Caracterização da Organização
A FILHO, S,A. é uma empresa, prestadora de serviços de telecomunicações móveis (telefonia celular), a exercer atividade em Angola, tendo sido a primeira a operar com a tecnologia GSM no mercado angolano. Constituída em 1998, entrou no mercado em 2001, durante o seu primeiro ano de atividade, já no terceiro trimestre, assumiu a liderança de mercado, em número de clientes. Desde a sua génese, a FILHO, S.A., tem vindo a ampliar o acesso ao telemóvel e às telecomunicações, aproximando os angolanos de norte a sul do país, massificando o acesso dos seus produtos e serviços aos seus clientes, tendo como principal atividade a prestação de serviços móveis de voz e de dados. Porém, o atual contexto, económico e financeiro obriga a que cada dia sejam feitas maiores restrições orçamentais, exigindo-se simultaneamente o aumento de produtividade.
Para efeito do presente estudo, diagnosticou-se o atual contexto empresarial, tendo-se especificamente estudado a realidade de uma empresa que atua no setor das telecomunicações móveis, cuja identidade se pretendeu preservar adotando-se a designação fictícia de FILHO, S.A.
3.1. Missão e Objetivos
A missão da FILHO, S.A. é criar ligações e aproximar os clientes, numa perspetiva mais ampla, com prestação de serviços de telecomunicações e outras atividades conexas, ou complementares, em que se verifique afinidade tecnológica.
Atualmente, a empresa assenta a sua atividade numa estratégia bem definida que tem como principais objetivos a manutenção da liderança, o reforço do prestígio e posicionamento da sua marca, a oferta de novos produtos e serviços inovadores e de qualidade, assegurando a estrutura de custos e rentabilidade dos investimentos mais competitivos do mercado.
3.2 Morada
A sede da sociedade localiza-se no Edifício FILHO, S.A, situado no Talatona, Via CS3, Luanda Sul, Angola. Porém, muitos funcionários são distribuídos geograficamente
pelo país, em todas as 18 províncias de Angola, contando com 88 lojas geograficamente distribuídas.
3.3. Organograma
A Direção de Sistemas de Informação é uma unidade que presta serviços de âmbito tecnológico internamente da empresa FILHO,S.A. e externamente aos Stakeholders que se situam no perímetro da sede da FILHO em Luanda.
Tem como missão promover a utilização racional dos Sistemas, Tecnologias de Informação e Comunicação na FILHO S.A., de modo a tornar mais eficientes e inovadores os processos de negócio, assegurando a prestação de serviços de elevada qualidade e fiabilidade, tanto interna como externamente aos diferentes parceiros. A figura abaixo apresenta a Estrutura Organizacional da empresa FILHO,SA.
Figura 5- Organograma da FILHO, SA
3.4. Recursos Humanos
A FILHO, S.A., atualmente, conta com aproximadamente 2.500 trabalhadores, distribuídos geograficamente pelos locais onde esta exerce a sua atividade, concentrando 40% dos colaboradores na sede na província de Luanda. Os dados da Tabela 1 apresentam o número de funcionários da empresa juntamente com a carreira específica de cada um deles.
Para que, seja viável, o normal funcionamento de toda a atividade diária, torna-se essencial manter uma estrutura informática, a um nível de disponibilidade elevada, de preferência com baixa latência, assegurando simultaneamente a sua segurança através das ferramentas disponíveis, bem como a continuidade do negócio.
Carreira Número de Funcionários
Técnicos Superiores 350 Assistentes técnicos 540 Assistentes Operacionais 786 Especialistas de informática 30 Outras carreiras 800 TOTAL 2.500
Tabela 1- Tabela dos trabalhadores da Empresa FILHO, SA